Ursprungligt publiceringsdatum: den 29 augusti 2025
KB-ID: 5066470
Introduktion
I den här artikeln beskrivs de senaste och kommande ändringarna i Windows 11 version 24H2 och Windows Server 2025, med fokus på granskning och eventuell tillämpning av blockering av kryptografi som härleds av NTLMv1. Dessa ändringar är en del av Microsofts bredare initiativ att fasa ut NTLM.
Bakgrund
Microsoft har tagit bort NTLMv1-protokollet (se Borttagna funktioner) från Windows 11 version 24H2 och Windows Server 2025 och senare versioner. Men även om NTLMv1-protokollet tas bort finns rester av NTLMv1-kryptografi fortfarande kvar i vissa scenarier, till exempel när MS-CHAPv2 används i en domänansluten miljö.
Credential Guard ger ett fullständigt skydd av både NTLMv1 äldre kryptografi och många andra attackytor, och Därför rekommenderar Microsoft starkt distribution och aktivering om Credential Guard-kraven uppfylls. Kommande ändringar påverkar bara enheter där Credential Guard är inaktiverat. Om Windows Credential Guard är aktiverat på enheten börjar inte ändringarna som beskrivs i den här artikeln att gälla.
Mål
I och med utfasningen av NTLM (se Inaktuella funktioner) och borttagningen av NTLMv1-protokollet arbetar Microsoft med att slutföra inaktiveringen av NTLMv1 genom att inaktivera NTLMv1-härledda autentiseringsuppgifter.
Kommande ändringar
Två nya ändringar, införandet av en ny registernyckel och nya händelseloggar, ingår i den här uppdateringen. En tidslinje över ändringarna finns i avsnittet Distribuera ändringar .
Ny registernyckel
En ny registernyckel införs, som anger om ändringarna är i granskningsläge eller framtvinga läge.
|
Registerplats |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Värde |
BlockNtlmv1SSO |
|
Typ |
REG_DWORD |
|
Data |
|
Nya granskningsfunktioner
-
När du använder inställningar för granskning (standard)
Händelselogg
Microsoft-Windows-NTLM/Operational
Händelsetyp
Varning!
Händelsekälla
NTLM
Händelse-ID
4024
Händelsetext
Granska ett försök att använda NTLMv1-härledda autentiseringsuppgifter för enkel inloggning Målserver: <domain_name> Angiven användare: <user_name> Angiven domän: <domain_name> PID för klientprocess: <process_identifier> Namn på klientprocess: <process_name> LUID för klientprocess: <locally_unique_identifier> Klientprocessens användaridentitet: <user_name> Domännamn för klientprocessens användaridentitet: <domain_name> Mekanism OID: <object_identifier> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2321802.
-
När du använder Framtvinga inställningar
Händelselogg
Microsoft-Windows-NTLM/Operational
Händelsetyp
Fel
Händelsekälla
NTLM
Händelse-ID
4025
Händelsetext
Ett försök att använda NTLMv1-härledda autentiseringsuppgifter för enkel Sign-On blockerades på grund av principen.Målserver: <domain_name> Angiven användare: <user_name> Angiven domän: <domain_name> PID för klientprocess: <process_identifier> Namn på klientprocess: <process_name> LUID för klientprocess: <locally_unique_identifier> Klientprocessens användaridentitet: <user_name> Domännamn för klientprocessens användaridentitet: <domain_name> Mekanism OID: <object_identifier> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2321802.
Mer information om andra förbättringar av granskning finns i Översikt över förbättringar av NTLM-granskning i Windows 11 version 24H2 och Windows Server 2025.
Distribution av ändringar
I september 2025 och senare uppdateringar distribueras ändringarna till Windows 11 version 24H2 och senare klientoperativsystem i granskningsläge. I det här läget loggas händelse-ID: 4024 när NTLMv1-härledda autentiseringsuppgifter används, men autentiseringen fortsätter att fungera. Lanseringen kommer att nå Windows Server 2025 senare i år.
I oktober 2026 anger Microsoft standardvärdet för Registernyckeln BlockNTLMv1SSO till 1 (Framtvinga) i stället för 0 (granskning) om registernyckeln BlockNTLMv1SSO inte har distribuerats till enheten.
Tidslinje
|
Datum |
Ändring |
|
Slutet av augusti 2025 |
Granskningsloggar för NTLMv1-användning aktiverad på Windows 11 version 24H2 och nyare klienter. |
|
November 2025 |
Börja distribuera ändringar till Windows Server 2025. |
|
Oktober 2026 |
Standardvärdet för registernyckeln BlockNtlmv1SSO ändras från granskningsläge (0) till framtvinga läge (1) via en framtida Windows-uppdatering, vilket stärker begränsningarna för NTLMv1. Den här ändringen i standardinställningar träder bara i kraft om registernyckeln BlockNtlmv1SSO inte har distribuerats. |
Obs Dessa datum är preliminärt och kan komma att ändras.
Vanliga frågor och svar (vanliga frågor och svar)
Microsoft använder en gradvis distributionsmetod för att distribuera en utgivningsuppdatering över en tidsperiod, snarare än alla på en gång. Det innebär att användarna får uppdateringarna vid olika tidpunkter och att de kanske inte är tillgängliga direkt för alla användare.
NTLMv1-härledda autentiseringsuppgifter används av vissa protokoll på högre nivå för engångsändamål Sign-On. Exempel är Wi-Fi-, Ethernet- och VPN-distributioner med MS-CHAPv2 autentisering. På samma sätt som när Credential Guard är aktiverat fungerar inte flöden med enstaka Sign-On för dessa protokoll, men manuellt inmatning av autentiseringsuppgifter fortsätter även i framtvingat läge. Mer information och metodtips finns i Överväganden och kända problem vid användning av Credential Guard.
Den enda likheten mellan den här uppdateringen och Credential Guard är skydd mot användaruppgifter från NTLMv1-härledd kryptografi. Den här uppdateringen ger inte ett brett och robust skydd av Credential Guard. Microsoft rekommenderar credential Guard-aktivering på alla plattformar som stöds.
